2010 წლიდან, Google უხდის ხალხს, რომ იპოვონ უსაფრთხოების ხარვეზები უდიდესი ციფრული პლატფორმის კოდში.
ვინაიდან ეს სისტემა მოქმედებს, კომპანიამ გადაიხადა 5 მილიონ დოლარზე მეტი მათ, ვინც ამ მიზნით დაუთმო დრო.
მეტის ნახვა
Toyota აცხადებს ახალ Corolla-ს ბრაზილიაში დაუჯერებელი ფასით; შეხედე
გასაოცარია: მეცნიერებმა "პრეისტორიული" პინგვინი ცოცხალი აღმოაჩინეს ახალ...
ცოტა ხნის წინ, საძიებო გიგანტმა გამოაცხადა ჯილდოების ზრდა, გადახდით მაქსიმუმ 150000$ და სხვა გადახდები გაორმაგდება ან გასამმაგდება ზომით.
ამ დროისთვის დაფიქსირდა 8,500 ანგარიში და გადასახადი შეცდომების ბონუსები. ამ ექსპოზიციებისთვის გადახდები 5 მილიონ დოლარზე მეტს შეადგენს.
Chrome დაუცველობის Bounty პროგრამა გთავაზობთ ბონუსების გაორმაგებას „ხარისხის ანგარიშებისთვის“ (15 ათასი დოლარიდან 30 ათას დოლარამდე). თანხა გასამმაგდება, როცა საბაზისო ანგარიში გაქვთ.
ხარისხის ანგარიშს უნდა ჰქონდეს მინიმიზირებული ტესტის შემთხვევა, ისევე როგორც ანალიზი, რომელიც ასრულებს როლს დაადგინეთ წარუმატებლობის მიზეზი, შემოთავაზებული გამოსწორების პაჩი და დემო ვერსია პოტენციური შეცდომის აღსანიშნავად მოხდეს.
საბაზისო მოხსენების შემთხვევებში, საჭიროა მინიმიზირებული ტესტირება, რათა საკითხი ექსპლუატაციის იყოს.
ლორი მერსერი, HackerOne-ის უსაფრთხოების ინჟინერი, იუწყება Google-ის გადახდების შესახებ და ამბობს, რომ ისინი ძალიან კარგად ჯიბეშია.
„პრემია იმ მონაწილეებისთვის, რომლებსაც შეუძლიათ Chromebook-ის ან Chromebox-ის კომპრომეტირება, არის ერთ-ერთი უმაღლესი ჯილდო დღეს ბაზარზე“, - თქვა მან.
მან დაამატა, რომ ამ ბონუტისთვის შესაბამისი შეცდომის წარდგენა "გარანტი იქნება ადგილის პრესტიჟულ Google-ის დიდების დარბაზში".
თუმცა, როდესაც შედარებით ნულოვანი, ციფრული უსაფრთხოების კომპანია, რომელიც ცნობილია, როგორც საუკეთესო გადამხდელი მკვლევარებისთვის, რომლებიც აღმოაჩენენ ხარვეზებს თავად კომპანიების წინაშე, Google ტოვებს სასურველს. კომპანია, როგორც წესი, იხდის $500,000 ბონუსს, სანამ ის გთავაზობთ კოდის დისტანციურ შესრულებას და ლოკალური პრივილეგიების გაძლიერებას, მაგალითად, Chrome-ის წინააღმდეგ.
მეორეს მხრივ, არალეგალურ ბაზრებზე კომპანიის სისტემის ხარვეზების გამო ტარდება აუქციონები, რის გამოც შემოთავაზებულია მაღალი ფასები, ზოგჯერ უფრო მაღალიც, ვიდრე აქ მოხსენებული ჯილდოები. ამასთან, ამ ტიპის საქმიანობა შეიცავს რისკს, რადგან არ არსებობს კონფიდენციალურობისა და გადახდის გარანტიები. რომ აღარაფერი ვთქვათ, რომ ამ მკვლევარებს არ აქვთ შესაძლებლობა წარმოადგინონ თავიანთი ნამუშევრები კონფერენციებზე.
აპლიკაციის უსაფრთხოების მკვლევარი შონ რაიტი ამ საკითხთან დაკავშირებით რამდენიმე გაფრთხილებას აკეთებს:
„თუ ფული გინდა, ზეროდიუმს მიყიდი. თუ გსურთ იყოთ ეთიკური, Google-ს შეატყობინებთ. თუ Google არ შეესაბამება Zerodium-ის მიერ გადახდილ თანხებს, ეს ნაკლებად სავარაუდოა, რომ შეიცვალოს.
Google ასევე ანიჭებს ჯილდოს, როდესაც აღმოაჩენს "შეცდომებს" "fuzzers"-ში. ეს არის პროგრამა, რომელიც გამოიყენება სხვადასხვა აპლიკაციების პარამეტრების შესამოწმებლად. მისი ფუნქცია დაფუძნებულია არასწორი ან შემთხვევითი მონაცემების ჩასმის პროცესზე, რათა სამიზნე პროგრამულმა პროგრამულმა კოლაფსმა ან მეხსიერების გაჟონვა შეძლოს, რათა ის გამოიყენოს თავდამსხმელმა. Fuzzers არის ჩვეულებრივი მოვლენა Google-ში და ვინც აღმოაჩენს შეცდომებს დაჯილდოვდება.
Google-ის მეშვეობით შესაძლებელია ექსპლოიტის ჯაჭვის შექმნა და Chromebook-ის კომპრომეტირება სტუმრის რეჟიმში. მყისიერი ჯილდოები ხელმისაწვდომია მთელს დაფაზე.
Google Play Security Bounty-ის პროგრამამ გაზარდა მკვლევარებისთვის ანაზღაურების თანხა HackerOne-თან, ჰაკერების უსაფრთხოების პლატფორმასთან პარტნიორობით. ეს არის პროგრამა, რომელიც ასევე აჯილდოვებს მათ, ვინც აღმოაჩენს დაუცველობას, მხოლოდ ამჯერად პოპულარულ აპებში. ღირებულება შეიძლება მიაღწიოს 20000 აშშ დოლარს.
იხილეთ ასევე: